En este documento mostraremos como asignar direcciones IP con nuestros servidores DHCP a equipos que nos interese, basandonos en ciertas condiciones como puede ser pertenecer a un grupo del DA, si disponen de un antivirus instalado, si tienen el S.O. actualitzat… podremos indicar si nos interesa darle una dirección IP de nuestros ámbitos o denegarle acceso a la red,

Lo primero será agregar la función de servidor “Serveis d' accés i directives de xarxes”,

Seleccionaremos unicamente el servicio de rol “Servidor de directives de xarxes” y continuamos con el asistente de instalación.

Abrimos la consola de administración “Servidor de directives de xarxes” y podremos configurar manualmente o mediante un asistente las directivas de NAP. Dentro del servidor NPS comenzaremos pulsando “Configurar NAP”,

En método de conexión de red seleccionaremos “Protocolo de configuración dinámica de host (DHCP) y le insicamos un nombre de directiva, “Següent”,

No agregaremos clientes RAIUS, “Següent”,

Si nos interesa, podemos agregar manualmente los ámbitos DHCP de nuestros servidores DHCP, en este caso aplicaremos la directiva a todos los ámbitos, “Següent”,

Podremos agregar un grupo de equipos que hayamos creado previamente para otorgar unicamente direcciones IP a los miembros de ese grupo, podríamos utilizar directamente el grupo “Equipos del dominio” para resitringir el acceso a una IP de nuestro servidor DHCP sólo a los equipos de nuestro Directorio Activo, “Següent”,

Si tenemos servidores de actualizaciones podremos indicarlos aquí, “Següent”,

Marcamos un validador que aplicaremos a esta directiva, para requerir condiciones extra en los equipos, como puede ser si disponen de Antivirus instalado, actualizado el equipo… podremos además autocorregir dichas condiciones si no las cumplen en los equipos, e indicaremos si queremos darles acceso si cumplen o no, “Següent”,

Confirmem que tot és correcte & “Finalitzar”,

Crearemos una GPO que aplicaremos a todos los equipos que nos interese, donde iniciaremos el servicio “Agente de Proteccion de acceso a redes” de forma automática en “Configuració de l' equip” > “Directives” > “Configuració de Windows” > “Configuración de Seguridad” > “Servicios del sistema”

Y habilitamos el ‘Cliente de aplicación de cuarentena de DHCP’ en “Configuració de l' equip” > “Directives” > “Configuració de Windows” > “Configuración de Seguridad” > “Protección de acceso a redes” > “Configuración del cliente NAP” > “Clientes de cumplimiento”.

Opcionalmente, podremos editar la configuración del validador de mantenimiento de seguridad de Windows predeterminado o crear uno personalizado indicando si requerimos en los clientes tener habilitado el firewall, antivirus, antispyware, actualizaciones de Windows. Ademas de configurar en la directiva si queremos cumplir todas las condiciones o unicamente algunas.

Y por último habilitaremos en nuestros rangos del servidor de DHCP la “Proteccion de acceso a redes”! y con esto tendremos algo más segura nuestra red de clientes, donde sólo accederan a una IP los equipos que cumplan todas las condiciones que nos interese!